ESNI (Identificación de red de servidor cifrada) con HTTP CONNECT (Proxy HTTP)

Question

ESNI (Identificación de red de servidor cifrada) con HTTP CONNECT (Proxy HTTP)

#1 de Steffen Ullrich (0 votos)

1

Con respecto a ESNI RFC ( enlace ) hace frente a muchas posibles vulnerabilidades de seguridad. Sin embargo, me interesa, ¿cómo se supone que se debe evitar la fuga de información confidencial (SNI) en caso de que se use (o se obligue a usar) el Proxy HTTP?

La solicitud HTTP CONNECT envía el FQDN del dominio en texto sin formato antes de que cualquier conexión se conecte.

Sé que el proxy es otra capa que no está tan relacionada con la ESNI, pero creo que debería considerarse como una posible debilidad.

¿Me estoy perdiendo algo aquí?

(por favor, por favor, alguien agrega nuevas etiquetas "esni", "sni" y "tls-1.3" a esta pregunta, no tengo reputación por eso, gracias)

tls http-proxy

pregunta lukyer 30.11.2018 - 09:43

fuente

1 respuesta

Lea otras preguntas en las etiquetas tls http-proxy

¿Es capaz SQL Server de enviar la cadena de certificados al cliente? Modelo de seguridad para disponibilidad de información

score 0 · Answer 1

El objetivo de ESNI es negar la observabilidad del dominio de destino cuando solo se realiza un rastreo pasivo del tráfico. Esto se enfoca principalmente en la inspección profunda de paquetes a nivel de ISP que podría crear perfiles de usuarios o restringir / dar forma al tráfico a algunos objetivos para su propio beneficio o porque las leyes lo requieren.

Esto no impide la visibilidad del dominio de destino en la solicitud CONECTAR. Pero una solicitud CONECTAR solo es emitida por el navegador si un proxy está configurado explícitamente en el navegador. Esto debe ser realizado por una persona que controla la computadora y, a menudo, se impulsa a través de las políticas de toda la empresa. Los proxies explícitos se usan generalmente solo dentro de la red de la empresa (o de la red doméstica), lo que significa que están fuera del alcance del ISP. Y la visibilidad y regulación del tráfico dentro de estas redes privadas es comúnmente aceptada (más o menos) como una necesidad.